Tài liệu An toàn bảo mât thông tin - Chương 2: An ninh mạng và thiết bị tường lửa pix của cisco

CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 1 Chương 2 AN NINH MẠNG VÀ THIẾT BỊ TƯỜNG LỬA PIX CỦA CISCO Tổng quan Chương này bao gồm các chủ đề sau:  Nội dung  An ninh mạng  Cisco AVVID và sự an toàn  Tổng kết 2.1 Nội dung Sau khi hoàn thành chương này, bạn có thể thực hiện được những nhiệm vụ sau:  Đưa ra lý do cho việc cần thiết phải đảm bảo an ninh mạng  Định nghĩa thế nào là bẻ khóa máy tính và mô tả 4 mối đe dọa chính liên kết với hành động đó  Định nghĩa 4 cách thức cơ bản để ngăn chặn các mối đe dọa trong an ninh mạng  Mô tả 3 phương pháp chính để ngăn chặn sự tấn công trong các mạng máy tính ngày nay  Mô tả mục đích của Security Whell  Mô tả kiến trúc của Cisco AVVID  Mô tả SAFE framework 2.2 An ninh mạng Phần này sẽ giải thích an ninh mạng là gì và tại sao lại cần phải đảm bảo an ninh mạng. CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 2 An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các mạng có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ chức có thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào trên thế giới. Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới sẽ phát sinh từ những người mà không cần thiết phải truy cập đến tài nguyên máy tính của công ty thông qua môi trường vật lý. Trong một nghiên cứu gần đây của Computer Security Institute (CIS), 70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60% trong số đó nguyên nhân là do chính trong công ty của họ. CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 3 Có 4 mối đe dọa chính đối với an ninh mạng  Mối đe dọa không cấu trúc  Mối đe dọa có cấu trúc  Mối đe dọa từ bên ngoài  Mối đe dọa từ bên trong Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí óc và rất tầm thường. Chúng được biết đến như là Script kiddies. Phần lớn họ không phải là những người tài giỏi hoặc là những hacker có kinh nghiệm., nhưng họ có những động cơ thúc đẩy, mà những động cơ đó đều quan trọng. Mối đe dọa có cấu trúc bao gồm các hacker - những người có động cơ cao hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã để thâm nhập vào những hệ thống mạng này Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên ngoài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy tính của CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 4 công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ mạng Internet hoặc mạng quay số truy cập vào servers Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông qua môi trường vật lý. Thông thường những người này đang có bất bình với những thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty. Có 3 cách thức tấn công mạng:  Tấn công theo kiểu thăm dò: Một kẻ xâm nhập cố gắng khai phá và xây dựng sơ đồ hệ thống, các dịch vụ và các điểm có thể tấn công.  Tấn công theo kiểu truy cập: Một kẻ xâm nhập tấn công mạng hoặc hệ thống để lấy dữ liệu, giành quyền truy cập hoặc cố gắng tiến tới chế độ truy cập đặc quyền  Tấn công kiểu DoS: Một kẻ xâm nhập tấn công mạng, phá hủy hoặc làm hỏng hệ thống máy tính, hoặc không cho phép bạn và những người khác truy cập vào hệ thống mạng của bạn và các dịch vụ khác 2.2.1 Tấn công theo kiểu thăm dò CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 5 Thăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống, các dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến như là việc thu thập thông tin. Trong hầu hết các trường hợp nó xảy ra trước so với các hành động truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS. Kẻ thâm nhập đầu tiên sẽ quét mạng đích để xác định các địa chỉ IP còn hoạt động. Sau khi hoàn thành việc này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địa chỉ IP này. Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng dụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trên host đích. Thăm dò cũng tương tự như một kẻ trộm có phạm vi hoạt động ra ngoài một láng giềng đối với những ngôi nhà có khả năng bị tấn công mà chúng có thể xâm nhập vào bên trong. Giống như một biệt thự bỏ hoang, một cánh cửa chính dễ dàng mở hoặc một cửa sổ. Trong nhiều trường hợp kẻ chộm kẻ trộm đã đi xa trước khi tiếng động cánh cửa phát ra. Nhưng để khám phá những dịch vụ có thể tấn công được họ có thể phải mạo hiểm vào khoảng thời gian sau đó khi mà lúc đó có thể có ai đó phát hiện. 2.2.2. Tấn công theo kiểu truy cập Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử dụng bởi những kẻ thâm nhập. Đôi khi nó cũng thật đơn giản cũng giống như việc tìm kiếm các thư mục chia sẻ trong Window 9x hoặc NT hoặc các thư mục đã được xuất dạng NFS trong hệ thống UNIX với việc đọc hoặc đọc và ghi dữ liệu được thực hiện bởi bất cứ ai. Kẻ thâm nhập sẽ không gặp bất cứ vấn đề gì đối với các file dữ liệu và thậm chí là không bao giờ, dễ dàng truy xuất các thông tin mang tính riêng tư cao và hoàn toàn không bị bảo vệ bởi những cặp mắt soi mói, đặc biệt kẻ tấn công là người sử dụng nội bộ CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 6 Truy cập hệ thống là khả năng của kẻ thâm nhập dành quyền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻ thâm nhập không có tài khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà nó không có quyên truy cập thông thường bao gồm việc chạy các hack, các đoạn kịch bản hoặc các công cụ để khai thác các lỗ hổng của hệ thống hoặc các ứng dụng Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền. Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập hiện tại. Trong nhiều trường hợp điều này bao gồm việc dành quyền truy cập gốc trong hệ thống UNIX để cài đặt sniffer để ghi lại tất cả những lưu lượng mạng được truyền qua, như là username và password có thể được sử dụng để truy cập đến các đích khác. Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò hoặc là do không biết gì. 2.2.3. Tấn công theo kiểu DoS DoS là khi một kẻ tấn công vô hiệu hóa hoặc làm hỏng mạng, hệ thống hoặc các dịch vụ với mục đích để ngăn cản các dịch vụ dành cho người sử dụng. Nó thường bao gồm việc phá hủy hệ thống hoặc làm hệ thống chậm xuống và không thể sử dụng. Nhưng Dos cũng có thể dễ dàng xóa sạch hoặc làm hỏng các thông tin cần thiết cho kinh doanh. Trong hầu hết các trường hợp thực thi việc tấn công chỉ đơn giản là bao gồm chạy hack, các kịch bản hoặc các công cụ. Kẻ tấn công không cần phải truy cập đến đích trước bởi vì tất cả những việc đó thường đòi hỏi một phương pháp để đạt được. Vì những lý do này và bởi vì khả năng phá hoại lớn nên Dos đặc biệt làm lo sợ đối với người điều hành các web site thương mại. CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 7 An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ sở liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel. Để bắt đầu tiến trình liên tục này bạn cần phải tạo một chính sách an ninh mà nó cho phép bảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện những nhiệm vụ sau:  Nhận dạng mục đích bảo mật của tổ chức  Tài liệu về tài nguyên cần bảo vệ.  Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt. Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, bạn cần phải xác định cái mà bạn muốn bảo vệ và bảo vệ nó như thế nào. Bạn cần phải có hiểu biết vể các điểm yếu hệ thống mạng và cách mà người ta có thể khai thác nó. Bạn cũng cần phải hiểu về các chức năng thông thường của hệ thống vì thế mà bạn phải biết là bạn cần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử dụng. Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ nó. Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị. Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an ninh ở phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào: CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 8 Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật như tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truy cập trái phép đến hệ thống mạng. Đây chính là điểm mà các thiết bị tường lửa bảo mật của Cisco có hiệu quả nhất. Bước 2: kiểm tra hệ thống mạng về các vi phạm và sự tấn công chống lại chính sách bảo mật của công ty. Các vi phạm có thể xảy ra từ bên trong vành đai an ninh của mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các hacker. Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảo mật của Cisco) có thể đảm bảo các thiết bị bảo mật trong bước 1 được cấu hình đúng. Bước 3: Thử nghiệm để kiểm tra hiệu quả của hệ thống bảo mật. Sử dụng thiết bị quét bảo mật của Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của mạng. Bước 4: Hoàn thiện an ninh của công ty. Sưu tầm và phân tích các thông tin từ các pha kiểm tra, thử nghiệm để hoàn thiện hơn Cả bốn bước – Bảo mật, kiểm tra, thử nghiệm và hoàn thiện – cần được lặp đi lặp lại liên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an ninh của công ty CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 9 Bảo mật mạng bằng cách áp dụng các chính sách an ninh và thực thi các chính sách an ninh dưới đây:  Chứng thực: chỉ đem lại quyền truy cập của người sử dụng  Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mong muốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép  Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụ hợp pháp truyền qua  Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ hổng được phát hiện. Công việc này bao gồm việc tắt các dịch vụ không cần thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn cho việc truy cập của hacker. Chú ý: Nhớ rằng cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản việc truy cập trái phép mặt vật lý đến hệ thống mạng CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 10 Viểm kiểm tra hệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấn công chống lại chính sách an ninh của công ty. Các cuộc tấn công này có thể xảy ra trong vành đai an ninh của hệ thống mạng từ những người lao động có âm mưu hoặc từ bên ngoài hệ thống mạng. Việc kiểm tra hệ thống mạng cũng cần thực hiện với các thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion Detection System (CSIDS). Những thiết bị này trợ giúp bạn trong việc phát hiện ra các phần trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng (check – balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security Wheel được cấu hình và làm việc đúng đắn. CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 11 Việc đánh giá là cần thiết. Bạn có thể có một hệ thống an ninh mạng tinh vi nhất, nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công. Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1 và bước 2 để đảm bảo chúng thực hiện đúng chức năng. Cisco Secure Scanner (thiết bị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng hợp từ hai pha kiểm tra và chạy thử nghiệm. Kỹ thuật phát triển và hoàn thiện nó phục vụ cho chính sách an ninh của bạn và nó bảo mật cho pha trong bước 1. Nếu bạn muốn duy trì hệ thống mạng được bảo mật thì cần phải lặp lại chu trình của Security CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 12 Wheel bởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn được tạo ra hàng ngày. Cisco AVVID có thể được xem như là một khung để mô tả một mạng tối ưu hỗ trợ giải pháp giao dịch Internet và là bản đồ chỉ dẫn cho việc bổ sung mạng. Phần này sẽ thảo luận về các lớp khác nhau của khung Cisco AVVID. Dưới đây là các phần khác nhau của kiến trúc Cisco AVVID:  Clients (khách) – Sư đa dạng của các thiết bị có thể được sử dụng để truy cập đến giải pháp giao dịch Internet thông qua mạng là rộng lớn. Những thiết bị này có thể bao gồm phones, PCs, PDAs…Một điểm khác nhau chính từ kiến trúc truyền thống đó là giải pháp Standards-base (chuẩn – cơ sở) có thể mở rộng sự đang dạng của các thiết bị được kết nối. Thậm chí đối với cả các thiết bị chưa được sử dụng rộng rãi. Không giống như các giải pháp video và điện thoại truyền thống, các thiết bị truy cập riêng là không cần thiết. Thay vào đó các chức năng được thêm vào thông qua các dịch vụ mạng thông minh được cung cấp trong cơ sở hạ tầng hiện tại.  Network Platforms (các nền tảng của mạng) – Cở sở hạ tầng của mạng cung cấp các kết nối vật lý, logic cho các thiết bị, gắn kết chúng vào trong hệ thống mạng. Các nền tảng của mạng là LAN switches, routers, gateways và CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 13 các thiết bị khác mà nó kết nối người sử dụng với các server. Các nền tảng mạng của Cisco được cạnh tranh nhau về đặc tính, hiệu quả và giá thành nhưng sự cạnh tranh chính đó là sự tích hợp và sự tương tác với các yếu tố khác của khung Cisco AVVID. Lớp này của Cisco AVVID làm cơ sở cho tất cả các ứng dụng mà sẽ được tích hợp để giải quyết vấn đề giao dịch.  Intelligent Network Services ( Các dịch vụ mạng thông minh) – các dịch vụ mạng thông minh được cung cấp thông qua các phần mềm hoạt động trên nền tảng mạng, là một lợi ích to lớn của kiến trúc end-to-end cho việc triển khai giải pháp giao dịch Internet. Từ chất lượng của dịch vụ (QoS) đến bảo mật, tính toán, và quản lý, các dịch vụ mạng thông minh phản ánh chính sách và quy tắc giao dịch của doanh nghiệp. Việc thiết lập nhất quán các dịch vụ end-to-end thông qua mạng là một vấn đề quan trọng bởi vì cơ sở hạ tầng mạng được sử dụng làm cơ sở cho các tiện ích mạng. Các dịch vụ nhất quán này có thể là các ứng dụng giao dịch Internet mới và các sáng kiến giao dịch để phát triển nhanh chóng mà không cần phải xây dựng lại hệ thống mạng. Ngược lại việc xây dựng mạng dựa trên chiến lược best-of-breed có thể mang lại nhiều hy vọng hiệu quả hơn đối với một thiết bị nào đó nhưng nó không thể hy vọng gì việc phân phối đặc tính end-to-end trong một môi trường đa nhà cung cấp. Cisco AVVID cung cấp chuẩn để quy định việc chuyển đổi và kết hợp của các nhà tích hợp giao dịch Internet. Nhưng việc thêm vào các dịch vụ mạng thông minh được đưa ra bởi giải pháp AVVID Cisco end-to-end nó đã vượt ra ngoài những gì có thể đạt được một cách tốt nhất trong môi trường breed  Internet middleware layer (lớp phần mềm chuyên dụng Internet) – trong phần kế tiếp bao gồm các dịch vụ điểu khiển và các dịch vụ truyền thông, là phần chính của bất kỳ một kiến trúc mạng nào, cung cấp các phần mềm và các công cụ để phá tan sự rắc dối phát sinh từ những công nghệ mới. Sự kết hợp các lớp này cung cấp cho các công cụ cho người tích hợp và những khách hàng để thiết kế cơ sở hạ thầng mạng và để tùy chỉnh các dịch vụ mạng thông minh nhằm đáp ứng nhu cầu của ứng dụng. Các lớp quản lý truy CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 14 cập, thiết lập cuộc gọi, vành đai an ninh, ưu tiên và băng thông, đặc quyền người sử dụng. Phần mềm, chẳng hạn như phân phối danh bạ khách hàng, các giải pháp thông điệp, đa phương tiện và phối hợp cung cấp các khả năng và thiết lập giao tiếp mà nó cho phép phối hợp giữa người sử dụng và đa dạng của các nền ứng dụng. Trong chiến lược best-of-breed bất kỳ khả năng nào cũng cần phải được cấu hình và quản lý riêng biệt. Trong truyền thống thì các đại lý điều khiển các lớp này, giới hạn sự đổi mới. Việc triển khai nhanh chóng các giải pháp giao dịch Internet phải dựa trên sự nhất quán của dịch vụ điều khiển và khả năng giao tiếp của các dịch vụ trên toàn bộ mạng. Các khả năng này thường được phân phát bởi các server của Cisco trên toàn bộ mạng. Các lớp dịch vụ điều khiển và dịch vụ truyền thông là keo dính để gắn kết các lớp công nghệ mạng của khung Cisco AVVID với giải pháp giao dịch Internet, trong hiệu lực điều chỉnh cơ sở hạ tầng mạng và các dịch vụ mạng thông minh đáp ứng nhu cầu của giải pháp giao dịch Internet. Đổi lại các giải pháp giao dịch Internet cần điều chỉnh phù hợp để đạt được hiểu quả cao nhất và sẵn có trên cơ sở hạ tầng mạng do khai thác các dịch vụ end-to-end sẵn có thông qua khung Cisco AVVID  Những người tích hợp giao dịch Internet (Internet business integrators). Như là một phần của hệ sinh thái mở. Nó bắt buộc để kích hoạt các đối tác của Cisco AVVID. Cisco nhận các yêu cầu quan trọng để đội ngũ với người tích hợp, đối tác chiến lược và khách hàng để cung cấp các dịch vụ kinh doanh hoàn tất. Cisco AVVID cung cấp hướng dẫn cho những tương tác này bằng cách mô tả một thiết lập nhất quán các dịch vụ và khả năng mà hình thành cơ sở cho bất kỳ kiểu nào của các mối quan hệ đối tác.  Giải pháp giao dịch Internet (Internet business solutions) – Doanh nghiệp, khách hàng đang triển khai các giải pháp kinh doanh Internet để lại các tổ chức kỹ sư của họ. Liên kết các ứng dụng với giải pháp giao dịch Internet không phải là giải pháp được cung cấp bởi Cisco, nhưng nó cho phép, tăng cường,và phân phối thông qua Ciso AVVID. Khả năng cho các công ty để chuyển đổi các mô hình kinh doanh truyền thống của họ đến các mô hình CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 15 kinh doanh Internet và triển khai các giải pháp kinh doanh Internet là chìa khóa sống còn của họ. Cisco AVVID là kiến trúc mà e-Internet xây dựng các giải pháp giao dịch Internet dễ dàng được triển khai và quản lý. Cuối cùng, thêm các giải pháp giao dịch Internet được thực hiện, các công ty sẽ làm việc hiểu quả hơn và tăng năng suất, giá trị. Internet đang tạo ra cơ hội kinh doanh to lớn cho Cisco và khách hàng của Cisco. Giải pháp kinh doanh thông qua Internet như là thương mại điện tử, e-learning và chăm sóc khách hàng đem lại hiệu quả sản xuất tăng đột ngột Cisco AVVID là một kiến trúc doanh nghiệp, nó cung cấp cơ sở hạ tậng mạng thông minh cho các giải pháp kinh doanh thông qua mạng Internet ngày nay. Cisoc AVVID cung cấp sơ đồ chỉ dẫn cho việc kết hợp các giao dịch của khác hàng và các chiến lược công nghệ thành một khối kết dính. CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 16 Với Cisco AVVID các khách hàng có một sơ đồ chỉ dẫn toàn diện cho phép các giải pháp kinh doanh thông qua Internet và tạo ra các lợi thế về cạnh tranh. Có 4 thuận lợi của Cisco AVVID:  Intergration:(sự tích hợp) – Từ tác dụng của kiến trúc Cisco AVVID và ứng dụng hiểu biết về mạng sẵn có trong IP, các công ty có thể phát triển một cách toàn diện các công cụ để hoàn thiện khả năng kinh doanh của mình  Intelligence (sự hiểu biết) – Ưu tiên các lưu lượng truy cập và các dịch vụ mạng thông minh làm tăng tối đa hiệu quả của mạng cho việc thực thi các ứng dụng được tối ưu.  Invovation (Sự dổi mới) – Các khách hàng có khả năng thích nghi một cách nhanh chóng trong một môi trường kinh doanh có nhiều biến đổi  Interoperability (thao tác giữa các phần) – Các chuẩn dựa trên hệ giao tiếp lập trình ứng dụng (APIs) cho phép sự tích hợp mở với 3 phần đó là nhà phát triển, nhà cung cấp và khách hàng với quyền được lựa chọn và tính mềm dẻo. Kết hợp cơ sở hạ tầng mạng và các dịch vụ với các ứng dụng mới trên thế giới, Cisco AVVID tăng cường sự tích hợp của các chiến lược công nghệ với tầm nhìn kinh doanh. CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 17 SAFE dựa trên Cisco AVVID, nó có tính mềm dẻo, năng động đảm bảo cho việc thiết kế mạng. SAFE cho phép đảm bảo và thành công cho các doanh nghiệp tạo thuận lợi cho việc giao dịch điện tử và cạnh tranh trong nền kinh tế Internet. Là một người đi đầu trong các hoạt động mạng, Cisco có một vị trí lý tưởng để giúp các công ty trong vấn đề an ninh mạng của họ. SAFE blueprint cùng với best-of- breed bổ sung các sản phẩm, các đối tác và các dịch vụ đảm bảo các doanh nghiệp có thể phát triển một cách mạnh mẽ, đảm bảo vấn đề an ninh mạng trong các mạng thời đại CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 18 Có một số lợi ích to lớn trong việc thực thi SAFE blueprint đối với vấn đề an ninh của giao dịch điện tử:  Cung cấp cơ sở để tiến tới vấn đề đảm bảo, giá cả hợp lý, sự hội tụ các mạng.  Cho phép các công ty thu lợi nhuận, triển khai modular, cân bằng cơ cấu an ninh trong từng giai đoạn  Phân phối, tích hợp sự bảo vệ mạng thông qua các sản phẩm và dịch vụ cấp cao CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 19 SAFE Blueprint cung cấp một kế hoạch an ninh mạnh mẽ được xây dựng trên Cisco AVVID. Lớp SAFE được sát nhập thông qua kiến trúc Cisco AVVID  Infrastructure layers (lớp cơ sở hạ tầng) – Sự thông minh, cân bằng các dịch vụ an ninh trên nền của Cisco như là routers, switches, hệ thống phát hiện sự xâm nhập và các thiết bị khác.  Appliances layer (lớp các thiết bị) – Sự tích hợp các chức năng chính trong các thiết bị cầm tay di động và các máy khách remote PC  Service control layer (lớp điều khiển dịch vụ) – Các giao thức an ninh quan trọng và các APIs cho phép các giải pháp an ninh làm việc gắn bó với nhau.  Application layer (lớp ứng dụng) – yếu tố an ninh của host và các ứng dụng cơ bản đảm bảo tính toàn vẹn của các ứng dụng giao dịch điện tử quan trọng Để thuận tiện cho việc triển khai một cách nhanh chóng, hợp nhất các chính sách an ninh trên toàn bộ doanh nghiệp, SAFE bao gồm các modun mà địa chỉ của nó yêu cầu phải riêng biệt trên mỗi vùng mạng. Thông qua SAFE blueprint, người quản lý vấn đề an ninh không cần phải thiết kể lại toàn bộ kiến trúc an ninh vào mỗi khi có một dịch vụ mới được thêm vào mạng. Với một modun mẫu, nó sẽ đơn giản hơn và lợi nhuận hơn để đảm bảo mỗi một dịch vụ mới khi nó cần thêm vào và để tích hợp nó với toàn bộ kiến trúc an ninh. CHAPTER 2: Network Security and The Cisco PIX Firewall Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN 20 Một nét đặc trưng duy nhất của SAFE blueprint đó là nó là một kế hoạch công nghiệp đầu tiên được đề cử một cách đúng đắn. Các giải pháp an ninh mạng sẽ bao gồm nó trong các phần của mạng, và nó giải thích tại sao chúng sẽ được triển khai. Mỗi một modun trong SAFE blueprint được thiết kế riêng để cung cấp hiệu quả tối đa cho các giao dịch điện tử, trong khi tại thời điểm đó nó cho phép các doanh nghiệp duy trì tính an ninh và tính toàn vẹn Cisco đã mở ra các kiến trúc AVVID và SAFE blueprint cho các nhà cung cấp thứ 3 tạo ra một hệ các giải pháp an ninh để thúc đẩy sự phát triển các sản phẩm và các ứng dụng đa dịch vụ best-in-class.Kiến trúc Cisco AVVID và SAFE blueprint cung cấp